El problema de seguridad fue advertido por la firma Wiz y Microsoft pudo actuar con rapidez y solucionarlo. Sin embargo el defecto ha estado presente desde 2019.

Podría haber sido un desastre.

La compañía de seguridad informática Wiz advirtió a Microsoft de una vulnerabilidad en su red de cloud computing Azure que había dejado a miles de clientes en riesgo.

Microsoft le avisó entonces a las empresas sobre el problema para que implementaran sus propias acciones de prevención mientras buscaba una solución. La función responsable de la vulnerabilidad fue deshabilitada unas 48 horas después del aviso.

Todos actuaron como debían y el momento de crisis pasó sin mayores sobresaltos. Al menos hasta donde sabemos.

Un fallo grave

La vulnerabilidad, bautizada como ChaosDB, le había permitido a Wiz conseguir un acceso sin restricciones a las cuentas y base de datos del servicio Cosmos DB.

Varios fallos vinculados a la opción de visualización de datos conocida como Jupyter Notebook son los responsables del problema. Jupyter Notebook fue lanzado en 2019, pero recién en Febrero de 2021 quedó disponible para todos los clientes de Cosmos DB.

Una mala configuración permitía la descarga, manipulación o eliminación de una gran cantidad de bases de datos comerciales, incluso el acceso y la alteración de la arquitectura del servicio.

Al descubierto

Entre las compañías que utilizan Azure se encuentran varias de las más exitosas del mundo.

Los expertos de Wiz han señalado que los clientes deberían cambiar sus claves aún cuando no hayan recibido una notificación de Microsoft.

Microsoft no ha encontrado evidencia de que la vulnerabilidad haya sido aprovechada por un agente malicioso.